Les entreprises continuent à ignorer les menaces liées à l'utilisation de versions obsolètes de Java : une société sur cinq continue d'exécuter des lignes de code datées, selon une étude de la firme Websense, spécialisée dans la sécurité. Après avoir lancé son outil ThreatSeeker Intelligence Cloud, 40 % des requêtes Java ont été traitées par la plate-forme Java 6 Standard Edition (SE), remplacée il y a deux ans déjà par Java SE 7. Le support officiel de Java 6 a d'ailleurs pris fin en avril 2013. Certaines entreprises pourraient avoir décidé de continuer à utiliser pour un temps Java 6 SE pour des raisons de compatibilité, mais en ignorant au final qu'ils laissaient une porte ouverte aux tentatives d'intrusions.
Cette tendance générale de ne pas mettre à jour le système Java signifie que 81 % des navigateurs sont désormais vulnérables aux deux vulnérabilités les plus récentes, en particulier, CVE- 2013-2473 et CVE- 2013-2463 publiées en juin dernier, et pour lesquelles pour des kits d'exploits - comme le Neutrino - ont été développés, selon Websense.
Java toujours très populaire malgré ses failles
Dans l'ensemble, Java reste encore populaire dans les entreprises, Websense a trouvé que 84 % des navigateurs et des utilisateurs l'autorisent. Une des tendances positives ces derniers mois est que les départements informatiques ont accéléré le rythme des mises à jour vers Java 7 .
« Java est aujourd'hui devenue une des principales portes d'entrée pour les pirates qui tentent de pénétrer les entreprises et ses vulnérabilités ont été banalisées dans les derniers kits d'exploits », a déclaré Carl Leonard, directeur de recherche EMEA chez Websense. « Il est clair que les cybercriminels savent qu'il y a un problème de mise à jour Java dans de nombreuses organisations, ils se concentrent donc sur les exploits ciblant à la fois les anciennes et les nouvelles versions de cette technologie ».
Flash est l'autre porte d'entrée
Flash, aussi, reste un problème dans de nombreuses entreprises, avec 40 % des utilisateurs qui n'exécutent pas la dernière version, selon Websense. 25 % des installations remontaient à plus de six mois, et 20 % à environ un an et une sur dix était âgée de plus deux ans. Les résultats de Websense concordent avec les conclusions d'une autre enquête sur la question des mises à jour. En juillet dernier, Bit9 a découvert à peu près les mêmes niveaux très bas pour les updates de Java 6, avec des niveaux d'utilisation encore très élevés et une part de marché de 80 % pour Java 6 dans son ensemble.
Malgré les failles, Java 6 reste encore très utilisé dans les entreprises
4
Réactions
Les entreprises utilisent encore de vieilles versions de Java et de Flash , selon une étude de Websense. Quatre sur dix utilisent encore des moutures obsolètes de Java 6 SE.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
4 Commentaires
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
"La faute aux éditeurs d'application". Oui c'est vrai mais ça fait tâche quand on a un serveur utilisant Oracle forms 6 (oui c'est vieux) qui fonctionnait très bien sous MS Java et Sun Java 1.5 et qui foire sous Oracle Java 1.7...
Signaler un abusLa plateforme achatspublic impose d'utiliser java malgré les failles que vous reconfirmez dans votre article. Les soumissionnaires aux appels d'offres des marchés publics sont donc contraints à ces vulnérabilité sans alternative possible !
Signaler un abusJava SE quelle que soit sa version devrait être BANNI des pc d'entreprise. Chaque nouvelle mouture est de toutes façons une passoire... et sa mise à jour un casse tête pour les administrateurs de parc (désinstallation systématiquement foireuse des anciennes versions, bloquant de fait la mise à jour automatisée). Je me bats pour que cela disparaisse de ma boite, mais les éditeurs de progiciels has-been sont plus forts que moi !
Signaler un abusLa faute aux éditeurs d'application s'appuyant sur un vieux java, et qui ne fonctionnent plus si on met java à jour.
Signaler un abusExemple CEGID.